En los últimos años, la popularidad de WordPress ha aumentado mucho y esto ha tenido algunas desventajas. Hoy en día es muy común que un diseñador arme un sitio basado en Wordpress, pero no le explique al comprador cómo mantenerlo o cómo funciona (sobre todo cuando el cliente prefiere no contratar un servicio de mantenimiento mensual).
En esta guía aprenderás cómo mantener tu sitio de manera segura sin necesidad de tener muchos conocimientos técnicos más que saber usar un cliente FTP y el panel de administración.
Actualizaciones: lo primordial
Al tratarse WordPress de una herramienta gratuita de código abierto, cualquiera puede conocer el funcionamiento interno de un sitio basado en este CMS. Por eso, cuando usuarios maliciosos encuentran una vulnerabilidad en la programación de WordPress, rápidamente intentan aprovecharla para atacar a cientos o miles de usuarios. Entonces, lo más importante para mantener tu sitio seguro es que el mismo esté actualizado.
Desde el Escritorio de Wordpress podrás actualizar este CMS, además de todos los plugins y temas gratuitos que estén provistos por su plataforma.
Es muy común que los Admins empleemos themes de terceros, pagos o gratuitos no provistos por el servicio mismo de Wordpress. En estos casos deberás manualmente actualizar el theme siguiendo las instrucciones de sus desarrolladores.
Usualmente, todo Tema brinda también algunos plugins incluidos que se actualizan junto con el template; entre los más comunes se encuentra el Revolution Slider. Muchas veces basta con actualizar el template desde la sección Apariencia de tu Escritorio de WordPress, pero otras veces los desrrolladores lanzan actualizaciones que deben ser subidas a tu servidor haciendo uso de un programa FTP.
Contraseñas
Las contraseñas son la primera barrera que tiene tu sitio para protegerse ante otros usuarios que quieran ingresar al mismo. Una buena contraseña sería una que mezcla varias palabras con números y mayúsculas. Por ejemplo, podrías utilizar como contraseña algo así como 3TristesTigres3ChanchitosAsustados.
No estamos diciendo que debes usar la anterior contraseña, y por favor no lo hagas; el ejemplo es para que consideres emplear minúsculas, mayúsculas y números. Adicionalmente, se recomienda agregar "caracteres especiales" a tu contraseña, como por ejemplo un guión, un arroba, un asterisco o el símbolo numeral (hashtag).
Por otro lado, te recomendamos que NO dejes activo tu usuario de nombre "admin", dado que es el primer nombre de usuario que un hacker empleará para intentar ingresar a tu sitio; cuando "admin" no existe, los usuarios maliciosos deben crear un bot específico para tu sitio, pero es poco común que esto ocurra.
Si empleas "admin" como nombre de usuario, simplemente crea un nuevo usuario con el mismo rango (admin, editor o el que requieras) y borra el usuario anterior reemplazándolo con el nuevo.
También es una buena idea cambiar periódicamente la contraseña del panel de control cPanel y el área de clientes de Duplika, aunque esto lo mnecionamos como una cuestión de seguridad general y no específica de Wordpress. Es una buena práctica nunca usar la misma contraseña en más de un mismo sitio o producto, porque si hackean a un usuario conocerán las credenciales del resto de tus cuentas homónimas.
Precauciones con Temas y Plugins
Tal vez no lo sepas, pero la gran mayoría de los plugins, themes y extensiones son realizados por programadores y diseñadores independientes (es decir que no tienen lazos con Wordpress). Si bien éstos, para publicar sus creaciones en wordpress.org, necesitan cumplir ciertos requisitos de seguridad, es posible que su código no sea del todo eficiente, o que el mismo pueda ser atacado más fácilmente. En general, con revisar los comentarios de otros usuarios relacionados a un componente o Tema es suficiente para descubrir si el plugin que te encuentras evaluando es problemático o, por el contrario, altamente recomendado. Particularmente, estudia con más detención si un plugin o Tema tentador publicado en un sitio no oficial de WordPress posee mala fama: muchas veces pueden contener malware, o sólo una programación deficiente que lo vuelve fácil blanco de ataques.
En el caso de los themes, existen varios sitios web confiables de donde obtener los mismos, entre ellos ThemeForest o ElegantThemes. Muchos desarrolladores te proveen también de herramientas para facilitar la actualización de los mismos themes, algo que te recomendamos contemplar.
Para los plugins existen también varios proveedores confiables como ThemePunch, WPMU DEV, CodeCanyon entre otros. Por estos mismos motivos, te recomendamos eliminar cualquier plugin o theme que no haya sido actualizado por su autor en al menos tres meses. Cuando un componente o Tema lleva muchos meses (¡o años!) sin recibir una actualización, queda claro que sus desarrolladores abandonaron su mantenimiento. Por eso, sin lugar a dudas te recomendamos cambiarlo por otro que cumpla cánones estéticos o funciones similares.
Versión de PHP
Si bien es más difícil que un hacker logre ingresar a tu sitio por usar una versión de PHP vieja, es cierto que las versiones anteriores contienen varias vulnerabilidades que dejaron de parcharse o mantenerse por el equipo de PHP. Cuando una versión PHP es demasiado vieja, alcanza su tiempo de vida útil, los admins no la emplean, y sus desarrolladores no invierten recursos en mejorarlas más. Por eso, recomendamos siempre usar la última versión estable de PHP disponible.
Puedes conocer cuál es la última versión oficialmente soportada por Wordpress desde su sitio web. Recientemente, la antigua versión de PHP 5.6 fue deprecada (descontinuada), dejando atrás a la función mysql_query --que podía ser fácilmente explotada-- para reemplazada por los elementos PDO y MySQLi (improved). Adicionalmente, se incluyeron importantes mejoras de performance que se traducen en mayor velocidad para la web. Si tu sitio tenía una versión muy vieja de Wordpress, es posible que también hayas asignado (o nosotros hayamos configurado a tu pedido) una versión vieja de PHP para que funcione bien. Si ése es el caso, te recomendamos cambiar esta configuración y usar siempre la más reciente. Como siempre, procura tener la última versión de todo tu framework.
Opciones avanzadas
Si quieres un nivel adicional de seguridad para tu sitio, puedes agregar una segunda contraseña a la carpeta wp-admin, wp-includes, uploads, plugins y demás utilizando la opción de cPanel llamada "Carpetas protegidas"; incluso, es posible bloquear el acceso web público a las mismas. Encontrarás más información al respecto --y distintas opciones listas para usar-- en la guía oficial de seguridad de Wordpress.
Otra opción para asegurar tus contraseñas es usar una autenticación de 2 pasos (2FA). Wordpress por defecto no ofrece esta opción, pero hay varios plugins que agregan esta funcionalidad dependiendo de cuál autenticador prefieres usar. Puedes ver el detalle y más datos desde la guía oficial de autenticación en 2 pasos de Wordpress.
Comentarios
0 comentarios
Inicie sesión para dejar un comentario.